Описание областей безопасности HDInsight
Как архитектору данных, ответственному за корпоративную безопасность кластера HDInsight, вам необходимо знать о различных векторах угроз и о том, как выполняются различные требования.
Корпоративная безопасность и модель общей ответственности
Безопасность — это основополагающее свойство Azure, которое обеспечивается многоуровневыми средствами защиты в физических центрах обработки данных, инфраструктурой и усилиями тысяч экспертов по кибербезопасности, активно отслеживающих угрозы для защиты данных и ресурсов клиентов. Дополнительные сведения см. на странице Обеспечение соответствия требованиям в Azure. Безопасность кластера Azure HDInsight является общей ответственностью корпорации Майкрософт и клиента. Области ответственности приведены ниже.
| Клиент | Azure (поставщик службы HDInsight) |
|---|---|
| Безопасность доступа к данным | Физическая инфраструктура |
| Безопасность приложений и ПО промежуточного слоя | Виртуализированная инфраструктура |
| Безопасность операционной системы | |
| Сетевая безопасность |
В HDInsight, как и в большинстве служб Azure, корпорация Майкрософт отвечает за безопасность физической и виртуализированной инфраструктуры.
Под безопасностью физической инфраструктуры понимается безопасность глобальной распределенной инфраструктуры центров обработки данных Azure, которая соответствует ключевым отраслевым стандартам, таким как ISO/IEC 27001:2013 и NIST SP 800-53. Многоуровневый подход позволяет снизить риск несанкционированного физического доступа к ресурсам центров обработки данных. Вот некоторые из этих уровней:
- запрос и утверждение доступа перед допуском на территорию;
- наблюдение за происходящим на периметре объекта;
- двухфакторная проверка подлинности, включая биометрию, для удостоверения личности пользователя;
- минимальный необходимый уровень разрешений на доступ в пределах центров обработки данных. Если вы хотите узнать больше о работе центров обработки данных Майкрософт и физической защите ресурсов клиентов, ознакомьтесь с разделом Физическая безопасность.
Безопасность виртуализированной инфраструктуры включает в себя соглашения об уровне обслуживания, архитектуру сети, операции, мониторинг, целостность и защиту данных. Чтобы получить полное представление о том, как Azure защищает ресурсы виртуальной инфраструктуры, обратитесь к документации по безопасности инфраструктуры Azure.
В последующих разделах обсуждаются методологии проектирования и рекомендации по областям безопасности, за которые отвечает клиент.
